Clasificación de amenazas (WASC v2)

El Web Application Security Consortium sigue trabajando en la clasificación de amenazas en su versión 2. Este proyecto es un intento de clarificar y organizar los distintos riesgos que afectan a la seguridad web. Tiene por objetivo el generar un estándar en la terminología que utilizan tanto desarrolladores de aplicaciones, profesionales de seguridad y vendedores de software, para describir todos los posibles riesgos a los que se somete una aplicación web, así como de proveer una descripción para cada uno de ellos.

Gracias a estándares de este tipo sería más sencillo abordar otros proyectos como el OWASP Top10, sin que acabe siendo un proyecto un tanto chapucero. Aunque la clasificación se somete a varios problemas ya que este documento publicó su primera versión en el año 2005 y no ha sido hasta el año 2009 que se está llevando a cabo su revisión. Además, no ha conseguido que el mercado lo acepte y recoja como ha ocurrido con otras iniciativas, actualmente cada uno sigue utilizando sus propias clasificaciones, como CWE de la National Cyber Security Division o la que pueda utilizar SecurityFocus en sus BID.

La lista de ataques final quedará de la siguiente forma:

• Abuse of Functionality
• Brute Force
• Buffer Overflow
• Content Spoofing
• Credential/Session Prediction
• Cross-Site Scripting
• Cross-Site Request Forgery
• Denial of Service
• Fingerprinting
• Format String
• HTTP Request Splitting
• HTTP Response Splitting
• HTTP Request Smuggling
• HTTP Response Smuggling
• Integer Overflow
• LDAP Injection
• Mail Command Injection
• Null Byte Injection
• OS Commanding
• Path Traversal
• Predictable Resource Location
• Remote File Inclusion (RFI)
• Routing Detour
• SOAP Array Abuse
• SSI Injection
• Session Fixation
• SQL Injection
• URL Redirector Abuse
• XPath Injection
• XML Attribute Blowup
• XML External Entities
• XML Entity Expansion
• XML Injection
• XQuery Injection

Fuente: Security by Default